Android malver zaobilazi dvofaktornu autentifikaciju da bi ukrao jednokratne lozinke

Mobilni telefoni, 20.06.2019, 10:00 AM

Android malver zaobilazi dvofaktornu autentifikaciju da bi ukrao jednokratne lozinke

Istraživači iz kompanije ESET otkrili su zlonamerne aplikacije koje mogu da pristupaju jednokratnim lozinkama u SMS 2FA porukama bez dozvola za pristup SMS porukama. Ove aplikacije zaobilaze Googleovu zabranu aplikacija koje pristupaju SMS porukama i evidencijama poziva bez dobrog razloga. Pored toga, tehnikom koju koriste ove aplikacije može se doći i do jednokratnih kodova iz nekih sistema za dvofaktornu autentifikaciju koji koriste email za slanje kodova.

Google je ranije ove godine uveo ovo ograničenje, kako bi smanjio rizik od osetljivih dozvola tamo gde to nije potrebno. U teoriji, jedan od pozitivnih efekata je bio taj što su aplikacije čija je svrha krađa lozinki izgubile mogućnost zloupotrebe ovih dozvola sa ciljem zaobilaženja mehanizama dvofaktorne autentifikacije (2FA). To praktično znači da je pojačana zaštita kodova za dvofaktornu autentifikaciju (2FA) koji se šalju preko SMS poruka.

Sajber kriminalci su pronašli način da zaobiđu ovo ograničenje.

Od 7. juna do 13. juna na Google Play je postavljeno više zlonamernih aplikacija koje su imitirale tursku menjačnicu kriptovaluta BtcTurk.

Njihova svrha je bila krađa lozinki za prijavu na servis. Umesto presretanja SMS poruka da bi se zaobišla 2FA zaštita korisničkih računa i transakcija, ove maliciozne aplikacije kradu jednokratne kodove iz obaveštenja koja se pojavljuju na ekranu inficiranih uređaja. Osim čitanja 2FA obaveštenja, ove aplikacije takođe mogu da ih uklone sa ekrana i tako spreče žrtve da primete transakcije koje se dešavaju bez njihove dozvole.

Pošto pristup SMS porukama nije objašnjen nijednom od funkcija aplikacija, one traže dozvolu za proveru obaveštenja da bi ih kontrolisale.

“Ova dozvola omogućava aplikaciji da čita obaveštenja koje prikazuju druge aplikacije instalirane na uređaju, odbaci ova obaveštenja ili klikne na dugmad koja one sadrže", kaže Lukas Stefanko, istraživač Android malvera u ESET-u.

Stefanko kaže da je dve lažne BtcTurk aplikacije koje je otkrio pokrenuo na Android 5.0 (KitKat) i novijim verzijama Androida, što znači da mogu da utiču na 90% aktivnih Android uređaja.

Odmah nakon dobijanja dozvole za obaveštenja, zlonamerne aplikacije počinju fišing tako što prikazuju lažnu formu za prijavljivanje.

Kada se korisničko ime i lozinka pošalju napadačima, žrtva dobija poruku o grešci u kojoj se navodi da je došlo do problema zbog servisa za SMS verifikaciju i da će aplikacija objaviti obaveštenje kada servis bude u funkciji.

“Zahvaljujući dozvoli za pristup obaveštenjima, zlonamerna aplikacija može da čita obaveštenja koja dolaze od drugih aplikacija, uključujući SMS i email aplikacije. Aplikacija ima postavljene filtere da bi ciljala samo obaveštenja iz aplikacija čija imena sadrže ključne reči "gm, yandex, mail, k9 , outlook, sms, messaging”, objašnjava Stefanko.

Napadač dobija sadržaj prikazan u obaveštenjima iz svih ciljanih aplikacija. Na ovo ne utiče nijedno podešavanje koje korisnik odabere, kao što je skrivanje sadržaja kada je ekran zaključan.

Jedan nedostatak ove tehnike, ističe Stefanko, je što je na ovaj način moguće ukrasti samo tekst koji se staje u obaveštenje. Sve van njega ostaje skriveno za napadača. Iako ovo ne mora uvek uključivati jednokratni pristupni kod, haker bi bio uspešan u većini slučajeva.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google najavio nova upozorenja na Androidu za nepoznate uređaje za praćenje

Google najavio nova upozorenja na Androidu za nepoznate uređaje za praćenje

Google će ažurirati upozorenja za nepoznate uređaje za praćenje koja bi vlasnicima Android uređaja trebalo da olakšaju njihovo otkrivanje, najav... Dalje

Ove lažne ponude za posao kriju bankarskog trojanca za Android

Ove lažne ponude za posao kriju bankarskog trojanca za Android

Tim istraživača Zlabsa iz kompanije Zimperium otkrio je sofisticiranu mobilnu phishing kampanju (Mishing) koja distribuira novu varijantu bankarskog... Dalje

Špijunski malver za Android imitira popularnu aplikaciju sa Google Play

Špijunski malver za Android imitira popularnu aplikaciju sa Google Play

Istraživači Citizen Lab-a otkrili su novi malver za Android analizirajući softver koji je ruska Federalna služba bezbednosti (FSB) instalirala na ... Dalje

Niko nije bezbedan: zloglasni špijunski softver Pegaz pronađen na telefonima ''običnih'' ljudi

Niko nije bezbedan: zloglasni špijunski softver Pegaz pronađen na telefonima ''običnih'' ljudi

Moćni špijunski softver Pegaz mogao bi biti rašireniji nego što se ranije mislilo. Mobilna bezbednosna platforma iVerify otkrila je sedam infekci... Dalje

Novi Android bankarski trojanac krade lozinke za aplikacije banaka i kripto-berze

Novi Android bankarski trojanac krade lozinke za aplikacije banaka i kripto-berze

Istraživači iz kompanije Cleafy otkrili su novog Android bankarskog trojanca pod nazivom „DroidBot“ koji krade podatke za prijavljivanje... Dalje